Schutzstufenkonzept für Daten

Verschlüsselung im Internet der Dinge

Interview mit Matthias Kess, technischer Leiter bei der Befine Solutions AG in Freiburg, über praktikable Verschlüsselungsmethoden bei der E-Mail- und Messenger-Kommunikation sowie im Internet der Dinge

Matthias Kess, Befine Solutions

Matthias Kess, Befine Solutions

IT-DIRECTOR: Herr Kess, viele sensible Unternehmensinformationen befinden sich in E-Mails. Was bringt hier der Einsatz gängiger Verschlüsselungslösungen wie Pretty Good Privacy (PGP), dessen Open-Source-Varianten OpenPGP und S/MIME (Secure/Multipurpose Internet Mail Extensions)?
M. Kess:
Aus technischer Sicht bieten Lösungen wie PGP, OpenPGP oder S/MIME einen guten Schutz der zu übertragenden Inhalte. Im Hinblick auf Benutzerfreundlichkeit ist die Einrichtung und Nutzung für viele Unternehmen und Privatpersonen jedoch zu komplex und unflexibel, sodass sich diese Technologien bis heute nicht flächendeckend etabliert haben und nur punktuell zum Einsatz kommen.

Darüber hinaus existieren Lücken in wichtigen Bereichen: Der Einsatz auf mobilen Geräten ist oft nicht möglich, E-Mails können zwar sicher übertragen werden, Inhalte von Betreffzeilen bleiben jedoch unverschlüsselt und Dateianhänge (die oftmals die relevantesten Informationen enthalten) scheitern häufig an Größenbeschränkungen, so dass hierfür andere sichere Transportlösungen gewählt werden müssen. Um alle Kommunikations- und Sicherheitsbedürfnisse von Unternehmen abzudecken, genügt der Einsatz von S/MIME oder PGP daher alleine nicht aus.

IT-DIRECTOR: Zunehmend verlagert sich (sensible) Firmenkommunikation bzw. die Kommunikation mit Partnern oder Lieferanten auch in Chats, Messenger-Dienste oder Collaboration-Plattformen. Wie lässt sich diese Art und Weise von Kommunikation am besten absichern?
M. Kess:
E-Mail ist ein definierter Standard, auf dem die Produkte und Angebote unterschiedlicher Hersteller aufbauen, die miteinander interoperabel sein müssen. Messenger und Collaboration-Plattformen sind hingegen meist proprietäre Produkte, bei denen sich der jeweilige Hersteller Gedanken zur Sicherung seines Systems machen muss. Wo Client-Software oder zentrale Verzeichnisse im Einsatz sind – wie häufig bei Produkten dieser Art – lässt sich in der Regel auch einfach eine Public-Key-Infrastruktur (PKI) mit verteilen und so Sicherheit realisieren. Doch auch dort, wo die Produkthersteller selbst keine Maßnahmen ergreifen, existieren Lösungen, um Inhalte durch Verschlüsselung nur für einen definierten Personenkreis zugänglich zu machen, ganz gleich, ob diese per USB-Stick, E-Mail, Chat oder Cloud-Service übertragen werden.

IT-DIRECTOR: Welche Inhalte bzw. Geräte sollten die Verantwortlichen auf jeden Fall verschlüsseln?
M. Kess:
Die Bedeutung von bestimmten Informationen für ein Unternehmen variiert sehr stark, je nach Branche und Zweck des Betriebs. Grundsätzlich sollte jedes Unternehmen über ein Schutzstufenkonzept für Daten verfügen und darin definieren, welche Daten wie geschützt werden müssen, beispielsweise in Bezug auf Zugriffskontrolle, Speicherung, Transport, Löschung usw. Generell sollten personenbezogene Daten sowie Informationen, die einen Wettbewerbsvorteil eines Unternehmens oder seiner Kunden gegenüber anderen Marktteilnehmern ausmachen, den höchsten Schutz genießen.

IT-DIRECTOR: Was halten Sie von den jüngsten Vorschlägen verschiedener Regierungsvertreter, künftig ein Verbot von Verschlüsselungstechnologien zu erwirken, auf welche Behörden bzw. Geheimdienste keinen Zugriff nehmen können?
M. Kess:
Es ist ein Paradoxon zu glauben, dass ausgerechnet Kriminelle sich an Verbote halten werden. Die Recherchen nach den Anschlägen von Paris haben außerdem gezeigt, dass Terroristen für den geheimen Informationsaustausch auch völlig andere Wege finden, wie beispielsweise Multiplayer-Konsolenspiele, in denen sich zwei Avatare treffen und visuelle Botschaften austauschen, ganz ohne den Einsatz von Kryptographie und dennoch abhörsicher. Gleichwohl schützt Verschlüsselungstechnologie im Alltag nicht nur gegen Wirtschaftsspionage und Missbrauch von Daten, sondern auch gegen Terror, etwa dann, wenn dadurch verhindert wird, dass Informationen in die Hände von Kriminellen geraten, die sonst einfach zugänglich wären. Ein System, in dem der Schutz der Privatsphäre bereits einen Anfangsverdacht für Kriminalität darstellt, scheint nicht in unsere Zeit und in die freiheitliche Grundordnung unserer Gesellschaft zu passen.

IT-DIRECTOR: Stichwort „Internet der Dinge“: Werden Connected Cars oder Smart-Home-Systeme gehackt, ist großer Schaden für die Nutzer vorprogrammiert. Inwieweit lassen sich im Internet der Dinge (Internet of Things, IoT) Verschlüsselungsmechanismen nutzen?
M. Kess:
Die Zahl der existierenden und zukünftigen Geräte sowie die Möglichkeiten, auf sie zuzugreifen, sie zu nutzen und zu vernetzen, sind heute kaum absehbar. Die einzelnen Elemente und Funktionsgruppen im IoT zu schützen, ist eine große und komplexe Aufgabe – die Frage nach dem „Wie“ ist je nach Funktionsgruppe zu beantworten. Verschlüsselungs- und Authentifizierungsverfahren werden dabei jedoch eine zentrale Rolle spielen.

IT-DIRECTOR: Wie genau funktioniert Kryptologie im IoT-Umfeld?
M. Kess:
Letztlich funktioniert die Kryptologie im IoT-Umfeld genauso wie in der IT bisher. Die spannende Frage wird jedoch sein, wie sicher und zugleich benutzerfreundlich die Fragen nach der Erzeugung, Speicherung und Installation von Schlüsseln und Zertifikaten und der Anwendung der Kryptologie im Alltag sein wird. IoT-Lösungen können nur erfolgreich sein, wenn sie Sicherheit und Benutzerfreundlichkeit vereinen – Nutzer von IoT-Devices wünschen sich einen Komfortgewinn im Alltag, möchten sich dafür jedoch nicht zusätzlichen Risiken von Einbruch, Verletzung der Privatsphäre oder Identitätsmissbrauch aussetzen.

Dies ist ein Artikel aus unserer Print-Ausgabe 03/2016. Bestellen Sie ein kostenfreies Probe-Abo.

IT-DIRECTOR: Was spricht für eine Verschlüsselung im Internet der Dinge und was dagegen?
M. Kess:
Verschlüsselung und Authentifizierung im Internet der Dinge werden unabdingbar sein, um Missbrauch vorzubeugen und somit dauerhaft Akzeptanz bei den Anwendern zu schaffen. Ihre zuverlässige Implementierung ist somit eine Voraussetzung für den dauerhaften Erfolg des IoT. Die Hardware wird mit den Anforderungen an Sicherheit Schritt halten müssen und es ist auch davon auszugehen, dass dies geschieht. Bandbreiten, Performance, Batterielaufzeiten und andere Hardware-Kapazitäten sind in der Vergangenheit kontinuierlich gewachsen und werden das auch in der Zukunft weiter tun.

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok